本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 迁移 Amazon 成本管理的访问控制
**注意**
以下 Amazon Identity and Access Management (IAM) 操作已结束标准支持:
`aws-portal` 命名空间
`purchase-orders:ViewPurchaseOrders`
`purchase-orders:ModifyPurchaseOrders`
如果您尚未将旧的 IAM 操作迁移到新的精细操作,则必须在 2024 年 3 月之前完成迁移。
如果您正在使用 Amazon Organizations,则可以使用[批量策略迁移程序脚本](https://docs.amazonaws.cn/awsaccountbilling/latest/aboutv2/migrate-iam-permissions.html)从您的付款人账户更新政策。您还可以使用[旧到精细操作映射参考](https://docs.amazonaws.cn/awsaccountbilling/latest/aboutv2/migrate-granularaccess-iam-mapping-reference.html)来验证需要添加的 IAM 操作。
有关更多信息,请参阅[Amazon 账单、 Amazon 成本管理和账户控制台权限变](https://www.amazonaws.cn/blogs/china/enable-new-granular-service-permissions-to-better-control-access-to-billing-cost-management-and-account-services/)更博客。
如果您在 2023 年 11 月 16 日上午 11:00(太平洋夏令时)当天或之后 Amazon Organizations 创建了或参与其中,则细粒度的操作已经在您的组织中生效。 Amazon Web Services 账户
您可以使用精细的访问控制来为组织中的个人提供对服务的访问权限。 Amazon 账单与成本管理 例如,您可以提供对 Cost Explorer 的访问权限,而无需提供对 Amazon 账单控制台的访问权限。
要使用精细访问控制,您需要将策略从 `aws-portal` 门户迁移到新的 IAM 操作。
在此迁移中,您的权限策略或服务控制策略(SCP)中的以下 IAM 操作需要更新:
+ `aws-portal:ViewAccount`
+ `aws-portal:ViewBilling`
+ `aws-portal:ViewPaymentMethods`
+ `aws-portal:ModifyAccount`
+ `aws-portal:ModifyBilling`
+ `aws-portal:ModifyPaymentMethods`
+ `purchase-orders:ViewPurchaseOrders`
+ `purchase-orders:ModifyPurchaseOrders`
要了解如何使用 **受影响策略**工具来确定受影响的 IAM 策略,请参阅[如何使用受影响策略工具](migrate-security-iam-tool.md)。
**注意**
计划请求 Amazon Cost Explorer、 Amazon 成本和使用情况报告以及 Amazon 预算不受影响。
[激活对 Billing and Cost Management 控制台的访问权限](control-access-billing.md#ControllingAccessWebsite-Activate) 保持不变。
**Topics**
+ [管理访问权限](#migrate-control-access-CMG)
+ [如何使用受影响策略工具](migrate-security-iam-tool.md)
## 管理访问权限
Amazon 成本管理与 Amazon Identity and Access Management (IAM) 服务集成,因此您可以控制组织中谁有权访问[Amazon 成本管理控制台](https://console.amazonaws.cn/cost-management/)上的特定页面。您可以控制对 Amazon 成本管理功能的访问权限。例如, Amazon Cost Explorer、Savings Plans、预订建议、储蓄计划以及预订利用率和承保范围报告。
使用以下 IAM 权限对 Amazon 成本管理控制台进行精细控制。
### 使用精细 Amazon 的成本管理操作
此表总结了允许或拒绝 IAM 用户和角色访问您的成本和使用情况信息的权限。有关使用这些权限的策略示例,请参阅[Amazon 成本管理政策示例](billing-example-policies.md)。
有关 Amazon 账单控制台的操作列表,请参阅[Amazon 账单*用户指南中的Amazon 账单*操作策略](https://docs.amazonaws.cn/awsaccountbilling/latest/aboutv2/billing-permissions-ref.html#user-permissions)。
- ** [Amazon 成本管理主页](https://console.amazonaws.cn/cost-management/home#/) **
- **IAM 操作:** `ce:GetCostAndUsage`
`ce:GetDimensionValues`
`ce:GetCostForecast`
`ce:GetReservationUtilization`
`ce:GetReservationPurchaseRecommendation`
`ce:DescribeReport`
- **说明:** 允许或拒绝用户查看 **Amazon 成本管理主页**的权限。需要所有 IAM 操作才能查看该页面。
- ** [Amazon Cost Explorer](https://console.amazonaws.cn/cost-management/home#/cost-explorer) **
- **IAM 操作:** `ce:GetCostCategories`
`ce:GetDimensionValues`
`ce:GetCostAndUsageWithResources`
`ce:GetCostAndUsage`
`ce:GetCostForecast`
`ce:GetTags`
`ce:GetUsageForecast`
`ce:DescribeReport` / **说明:** 允许或拒绝 IAM 用户查看 **Amazon Cost Explorer**页面的权限。
- **IAM 操作:** `ce:CreateReport` / **说明:** 允许或拒绝 IAM 用户保存 Cost Explorer 报告的权限。
- ** [Reports](https://console.amazonaws.cn/cost-management/home#/reports) **
- **IAM 操作:** `ce:DescribeReport` / **说明:** 允许或拒绝 IAM 用户查看使用情况报告的权限。
- **IAM 操作:** `ce:DeleteReport` / **说明:** 允许或拒绝用户删除已保存报告的权限。
- ** [Amazon Budgets](https://console.amazonaws.cn/billing/home#/budgets) **
- **IAM 操作:** `budgets:ViewBudget`
`budgets:DescribeBudgetActionsForBudget`
`budgets:DescribeBudgetAction`
`budgets:DescribeBudgetActionsForAccount`
`budgets:DescribeBudgetActionHistories` / **说明:** 允许或拒绝用户查看**预算**页面的权限。
- **IAM 操作:** `budgets:CreateBudgetAction`
`budgets:ExecuteBudgetAction`
`budgets:DeleteBudgetAction`
`budgets:UpdateBudgetAction`
`budgets:ModifyBudget` / **说明:** 允许或拒绝用户创建、删除和修改预算和预算操作的权限。
- ** [Amazon 成本异常检测](https://console.amazonaws.cn/cost-management/home#/anomaly-detection) **
- **IAM 操作:** `ce:GetDimensionValues`
`ce:GetCostAndUsage`
`ce:CreateAnomalyMonitor`
`ce:GetAnomalyMonitors`
`ce:UpdateAnomalyMonitor`
`ce:DeleteAnomalyMonitor`
`ce:CreateAnomalySubscription`
`ce:GetAnomalySubscriptions`
`ce:UpdateAnomalySubscription`
`ce:DeleteAnomalySubscription`
`ce:GetAnomalies`
`ce:ProvideAnomalyFeedback`
- **说明:** 允许或拒绝用户查看、创建、删除和更新**成本异常检测**页面的权限。
- ** [规模优化建议](https://console.amazonaws.cn/cost-management/home#/rightsizing) **
- **IAM 操作:** `ce:GetDimensionValues`
`ce:GetTags`
`ce:GetRightsizingRecommendation`
- **说明:** 允许或拒绝用户查看**节省计划概览**的权限。
- **[节省计划概览](https://console.amazonaws.cn/cost-management/home#/savings-plans/overview)**
- **IAM 操作:** `ce:GetSavingsPlansUtilizationDetails`
`ce:GetSavingsPlansPurchaseRecommendation` / **说明:**
- **IAM 操作:** `ce:DescribeNotificationSubscription` / **说明:** 允许或拒绝用户查看到期和排队的节省计划提醒的现有通知设置的权限。
- **IAM 操作:** `ce:CreateNotificationSubscription`
`ce:UpdateNotificationSubscription`
`ce:DeleteNotificationSubscription` / **说明:** 允许或拒绝用户更新到期和排队的节省计划提醒的现有通知设置的权限。
- **[节省计划库存](https://console.amazonaws.cn/cost-management/home#/savings-plans/inventory)**
- **IAM 操作:** `savingsplans:DescribeSavingsPlans`
`ce:GetSavingsPlansUtilizationDetails` / **说明:** 允许或拒绝用户查看已购买的节省计划的权限。
- **IAM 操作:** `savingsplans:DescribeSavingsPlansOfferings` / **说明:** 允许或拒绝用户将希望续订的节省计划添加到购物车的权限。
- ** [节省计划建议](https://console.amazonaws.cn/cost-management/home#/savings-plans/recommendations) **
- **IAM 操作:** `ce:GetSavingsPlansPurchaseRecommendation`
`ce:ListSavingsPlansPurchaseRecommendationGeneration` / **说明:** 允许或拒绝用户查看生成的节省计划建议的权限。
- **IAM 操作:** `ce:StartSavingsPlansPurchaseRecommendationGeneration` / **说明:** 允许或拒绝用户根据最新使用情况和节省计划库存计算一套新建议的权限。
- ** [购买节省计划](https://console.amazonaws.cn/cost-management/home#/savings-plans/purchase) **
- **IAM 操作:** `savingsplans:DescribeSavingsPlansOfferings`
- **说明:** 允许或拒绝用户将节省计划添加到购物车的权限。
- ** [节省计划使用率报告](https://console.amazonaws.cn/cost-management/home#/savings-plans/utilization) **
- **IAM 操作:** `ce:DescribeReport`
`ce:GetSavingsPlansUtilization`
`ce:GetSavingsPlansUtilizationDetails`
`ce:GetDimensionValues` / **说明:** 允许或拒绝用户查看您现有节省计划使用情况的权限。
- **IAM 操作:** `savingsplans:DescribeSavingsPlanRates` / **说明:** 允许或拒绝用户查看节省计划费率的权限。
- ** [节省计划覆盖率报告](https://console.amazonaws.cn/cost-management/home#/savings-plans/coverage) **
- **IAM 操作:** `ce:GetDimensionValues`
`ce:GetSavingsPlansCoverage`
`ce:GetCostCategories`
`ce:DescribeReport`
`ce:GetSavingsPlansPurchaseRecommendation`
- **说明:** 允许或拒绝用户查看节省计划覆盖的合规支出的权限。
- ** [节省计划购物车](https://console.amazonaws.cn/cost-management/home#/savings-plans/cart) **
- **IAM 操作:** `savingsplans:DescribeSavingsPlansOfferings`
`savingsplans:DescribeSavingsPlans` / **说明:** 允许或拒绝用户购买节省计划的权限。
- **IAM 操作:** `savingsplans:CreateSavingsPlan` / **说明:**
- ** [预留概览](https://console.amazonaws.cn/cost-management/home#/ri/dashboard) **
- **IAM 操作:** `ce:GetReservationUtilization`
`ce:GetReservationCoverage`
`ce:GetReservationPurchaseRecommendation`
`ce:DescribeReport` / **说明:** 允许或拒绝用户查看**预留概览**的权限。
- **IAM 操作:** `ce:DescribeNotificationSubscription` / **说明:** 允许或拒绝用户查看预留实例到期提醒的现有通知设置的权限。
- **IAM 操作:** `ce:CreateNotificationSubscription`
`ce:UpdateNotificationSubscription`
`ce:DeleteNotificationSubscription` / **说明:** 允许或拒绝用户更新预留实例到期提醒的通知设置的权限。
- ** [预留建议](https://console.amazonaws.cn/cost-management/home#/ri/recommendations) **
- **IAM 操作:** `ce:GetReservationPurchaseRecommendation`
`ce:GetDimensionValues`
- **说明:** 允许或拒绝用户查看预留建议的权限。
- ** [预留使用率报告](https://console.amazonaws.cn/cost-management/home#/ri/utilization) **
- **IAM 操作:** `ce:GetDimensionValues`
`ce:GetReservationUtilization`
`ce:DescribeReport` / **说明:** 允许或拒绝用户查看现有预留实例的使用率的权限。
- **IAM 操作:** `ce:CreateReport` / **说明:** 允许或拒绝用户保存预留实例报告的权限。
- ** [预留覆盖率报告](https://console.amazonaws.cn/cost-management/home#/ri/coverage) **
- **IAM 操作:** `ce:GetReservationCoverage`
`ce:GetReservationPurchaseRecommendation`
`ce:DescribeReport`
`ce:GetDimensionValues`
`ce:GetCostCategories` / **说明:** 允许或拒绝用户查看预订涵盖的符合条件的支出(RIs)。
- **IAM 操作:** `ce:CreateReport` / **说明:** 允许或拒绝用户保存预留实例覆盖率报告的权限。
- ** [Preferences](https://console.amazonaws.cn/cost-management/home#/settings) **
- **IAM 操作:** `ce:GetPreferences` / **说明:** 允许或拒绝用户查看 Amazon 成本管理首选项的权限。
- **IAM 操作:** `ce:UpdatePreferences` / **说明:** 允许或拒绝用户更新 Amazon 成本管理首选项的权限。